Especial: Auditoría Informática El marco de auditoría básico para las funciones bioinformáticas Autor: Coltell, Óscar RESUMEN Hasta el momento, la Auditoría de Sistemas de Información no ha entrado de lleno en el campo de la experimentación científica porque apenas había relación con los sistemas de información complejos. La Bioinformática ha establecido un uso tan intensivo de la Informática que exige revisar la calidad, eficiencia y seguridad de la información y los sistemas que la manejan. Se introduce un marco conceptual de audi- toría denominado COBIT (Control Objectives for Information and related Technology), que establece cuatro dominios para los sistemas de información. Cada uno de los dominios se divide en procesos que tienen unos objetivos de control generales. Y a cada uno de estos le corresponde un conjunto de objetivos detallados y guía de auditoría. Una adaptación del COBIT para la Bioinformática daría lugar a la Auditoría Bioinformática. PALABRAS CLAVE Bioinformática, Auditoría de Sistemas Bioinformáticos, BioAuditoría Informática, Tecnologías de la Información, COBIT. 1. INTRODUCCIÓN La Information Systems Audit and Control Association (ISACA), es una asociación profesional de ámbito mundial (más de 40.000 asociados individuales e institucionales) para la regulación de la práctica de la Auditoría de Sistemas de Información cuya sede esta en EE. UU. (http://www.isaca.org). En algunos países la ISACA tiene reconocimiento oficial como la institución reguladora del ejercicio de sus auditores informáticos, con unas competencias similares a los organismos que controlan la actividad de auditoría de cuentas. En otros países, como España, el reconocimiento es tácito ya que no existen normas legales específicas. Como resultado de un proceso relativamente largo, donde los miembros de la ISACA han ido aportando sus ideas, sugerencias y experiencia, se publicó en 1997 la primera versión de un marco metodológico formal denominado COBIT (Control Objectives for Information and related Technology - Objetivos de Control para la Información y Tecnologías Afines). COBIT, por tanto, está ampliamente aceptado por la comunidad internacional de auditores de sistemas de información como una norma estándar. Por tanto, el objetivo de este trabajo es presentar el marco de trabajo estándar de la Auditoría de Sistemas de Información, denominado COBIT1, que se utiliza con bastante profusión para la elaboración de guías de auditoría informática. Este es el enfoque formal de partida para intentar encontrar instrumentos de auditoría sobre las funciones bioinformáticas. Así, se podrá entender el desarrollo empleado en los siguientes artículos donde se explica una propuesta de marco metodológico adaptado para la Auditoría Bioinformática, teniendo en cuenta los aspectos científicos, tecnológicos y éticos de la disciplina. 2. BREVE INTRODUCCIÓN A COBIT La Misión de COBIT es la siguiente: “Investigar, desarrollar, publicar y promover un conjunto de objetivos de controlen tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores”1. COBIT está diseñado como un estándar aplicable y aceptable en general para la buena práctica de la auditoría de las tecnologías de la Información en todo el mundo. El producto COBIT utiliza los Objetivos de Control de ISACA, mejorados con estándares específicos de tipo técnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicación en el amplio espectro de sistemas de información en la empresa. Estos objetivos de control tienen en cuenta lo siguiente: • Adecuación a los estándares y normativas legislativos y de hecho existentes que se aplican en el marco glo- 25 Especial: Auditoría Informática bal, así como en los objetivos de control individuales. • Revisión crítica de las diferentes actividades y tareas bajo los dominios de control y posibilitando la especificación de indicadores de prestaciones importantes (normas, reglas, etc.) • Establecimiento de unas directrices y fundamentos para proporcionar investigación consistente sobre los temas de auditoría y control de Tecnologías de Información (TI). COBIT se ha diseñado como sistema metodológico que 26 consiste en un conjunto de objetivos de control de TI de alto nivel y una estructura global para su clasificación y funcionamiento (Figura 1). 3. ESTRUCTURA Y OBJETIVOS DE CONTROL La teoría subyacente para la clasificación elegida, en línea con las experiencias de Re-Ingeniería, es que hay, en esencia, tres niveles de esfuerzos en TI cuando se considera la gestión de los recursos de TI: Figura 1. Recursos de TI, Objetivos de Negocio y Dominios de COBIT “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.” Especial: Auditoría Informática • Actividades: Las actividades, junto con las tareas están en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo. • Procesos: Se definen en un nivel superior como series de actividades unidas con puntos de control naturales. • Dominios: Correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en línea con el ciclo de gestión o el ciclo de vida aplicables a los procesos de TI (Tabla 1). El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestión para la información, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cúbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a él eficientemente (Figura 2). Los objetivos de control de TI están organizados inicialmente por proceso / actividad, pero las ayudas para la navegación que se aportan, facilitan la entrada desde cualquier punto estratégico. También facilitan la adopción de enfoques combinados o globales, tal como la instalación / implementación de un proceso, responsabilidades de gestión global para un proceso, y el uso de los recursos de TI por un proceso (Figura 3). La información que los procesos de gestión necesitan está proporcionada por el uso de los recursos de TI. Para asegurar que los requisitos de gestión para la información se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas sobre estos recursos. Está claro que no todas las medidas de control satisfarán los requisitos de gestión en el mismo grado, así que se hace una distinción en COBIT contemplando el cumplimiento (Figura 4): • Primario (P): grado en que el objetivo de control satisface completamente el requisito de información correspondiente. • Secundario (S): grado en que el objetivo de control satisface solamente en menor extensión o indirectamente el requisito de información correspondiente. Tabla 1. Dominios de COBIT PLANIFICACIÓN Y ORGANIZACIÓN: DISTRIBUCIÓN Y SOPORTE: Conduce la estrategia y las tácticas y corresponde a la identificación de la forma en que la información tecnológica puede contribuir mejor a alcanzar los objetivos de gestión. Corresponde con la distribución normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formación. ADQUISICIÓN E IMPLEMENTACIÓN: MONITORIZACIÓN: Para llevar a cabo la estrategia es necesario identificar, desarrollar y adquirir soluciones de TI apropiadas, así como implementarlas e integrarlas en los procesos de gestión. Todos los procesos de TI deben evaluarse regularmente en el tiempo para comprobar su calidad. Figura 2. El cubo de COBIT “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.” Figura 3. Objetivos de control de COBIT definidos genéricamente “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.” 27 Especial: Auditoría Informática Figura 4. Tabla resumen de COBIT “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute.” 4. CONCLUSIONES Se ha descrito el COBIT tal como está formulado en la actualidad para la ASI, que no es adecuado para realizar auditorías bioinformáticas. Por lo tanto, es necesario estudiar cómo se puede adaptar para poder obtener un marco metodológico específico para la auditoría bioinformática. BIBLIOGRAFÍA 1. ISACAF-E. COBIT. Audit Guidelines. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 28 AGRADECIMIENTOS Este trabajo ha sido financiado en parte por la red temática de investigación cooperativa en el área de Biomedicina, denominada G03/160 “INBIOMED. Plataforma de almacenamiento, integración y análisis de datos clínicos, genéticos, epidemiológicos e imágenes orientada a la investigación sobre patologías”. Su coordinador es el Dr. Fernando Martín, del Instituto de Salud Carlos III. Además, las primeras versiones de este documento se desarrollaron mientras el autor se encontraba disfrutando de una beca de movilidad del profesorado financiada por el Ministerio de Educación y Ciencia de España, con el código PR2003-0063.